Politica de Privacidade

Política de Privacidade da Aplicação PAGA

Última atualização: 8 de junho de 2025

Introdução

A OUTCODE – Consultoria informática, Sociedade Unipessoal, Lda., com o NIPC (número único de matrícula) 515548022, com Sede na Rua Doutor José Marques Leite, lote 115, 1 Esq., 6000-218 Castelo Branco e com o e-mail info@outcode.pt ("OUTCODE", "nós", "nosso" ou "connosco"), é a entidade que disponibiliza a aplicação PAGA (a "Aplicação" ou "PAGA") e os serviços associados (os "Serviços").

Esta Política de Privacidade visa informá-lo, de forma clara e transparente, sobre como recolhemos, utilizamos, partilhamos, armazenamos e protegemos os dados pessoais no âmbito da utilização dos nossos Serviços. Estamos profundamente empenhados em proteger a sua privacidade e em cumprir integralmente com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados ou "RGPD") e demais legislação de proteção de dados aplicável em Portugal.

Ao utilizar os nossos Serviços, e após ter tomado conhecimento desta Política, a continuação da sua utilização pressupõe a sua compreensão sobre a forma como os seus dados são tratados. Se não concordar com os termos desta Política de Privacidade, por favor, não utilize os nossos Serviços.

Esta Política de Privacidade deve ser lida em conjunto com os nossos Termos e Condições de utilização da aplicação PAGA, a nossa Política de Cookies e, quando aplicável, com o Contrato de Prestação de Serviços e Acordo de Processamento de Dados.

1. Definições Chave (Artigo 4.º do RGPD)

Para efeitos desta Política, os seguintes termos têm o significado que lhes é atribuído pelo RGPD:

• Dados Pessoais: Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
• Tratamento: Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
• Responsável pelo Tratamento: A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
• Subcontratante: A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
• Utilizador Empresarial: A pessoa singular ou coletiva (nosso Cliente) que subscreve os Serviços da PAGA para gerir a sua atividade e os seus próprios clientes.
• Cliente Final: A pessoa singular que é cliente do Utilizador Empresarial e que utiliza a aplicação móvel PAGA (ou uma versão white-label da mesma).
• Categorias Especiais de Dados Pessoais: Dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2. Quem é o Responsável pelo Tratamento dos Seus Dados?

2.1 Categorização clara dos papéis de proteção de dados

• Para os dados dos Utilizadores Empresariais (nossos Clientes): A OUTCODE é a Responsável pelo Tratamento dos dados pessoais que recolhe diretamente dos Utilizadores Empresariais para efeitos de registo, gestão da conta, faturação da subscrição dos Serviços PAGA e comunicação.
• Identidade: OUTCODE – Consultoria informática, Sociedade Unipessoal, Lda.
• Email: geral@paga.pt
• Contacto do Encarregado de Proteção de Dados (DPO), contactável através do nosso formulário de contactos.
• Para os dados dos Clientes Finais (clientes dos nossos Utilizadores Empresariais): O Utilizador Empresarial (ex: o ginásio, a escola, a associação) é o Responsável pelo Tratamento dos dados pessoais dos seus Clientes Finais. A OUTCODE, ao disponibilizar a plataforma PAGA, atua como Subcontratante, tratando esses dados em nome e de acordo com as instruções documentadas do Utilizador Empresarial, conforme estabelecido no Contrato de Prestação de Serviços e Acordo de Processamento de Dados.

3. Que Dados Pessoais Recolhemos e Processamos? (Artigo 13.º do RGPD)

Recolhemos diferentes tipos de dados pessoais, dependendo da sua interação com os nossos Serviços:

3.1 Dados fornecidos por Utilizadores Empresariais (nossos Clientes)

Quando um Utilizador Empresarial se regista e utiliza a PAGA, podemos recolher:

• Informações de Identificação e Contacto: Nome da empresa, nome do representante, NIPC, morada, endereço de e-mail, número de telefone.
• Dados de Login da Conta: Nome de utilizador e palavra-passe (encriptada).
• Informações de Faturação e Pagamento: Dados necessários para processar os pagamentos da subscrição dos nossos Serviços (ex: dados de cartão de crédito ou débito, que são processados diretamente pelos nossos prestadores de serviços de pagamento, ou dados para débito direto).
• Comunicações: Qualquer informação que nos forneça quando nos contacta para suporte técnico, esclarecimentos ou outros fins.
• A comunicação destes dados é, em regra, um requisito contratual necessário para a celebração e execução do contrato de prestação de Serviços PAGA. A não disponibilização dos dados necessários poderá impedir a criação da conta ou a prestação dos serviços.

3.2 Dados processados pela PAGA em nome dos Utilizadores Empresariais (relativos aos Clientes Finais)

Conforme referido, a OUTCODE atua aqui como Subcontratante. Os dados dos Clientes Finais que podem ser processados através da PAGA, sob responsabilidade do Utilizador Empresarial, incluem:

• Informações de Identificação e Contacto: Nome, endereço de e-mail, número de telefone, morada, género, Número de Identificação Fiscal (NIF).
• Dados de Pagamento: Informações necessárias para processar pagamentos recorrentes (ex: dados de cartão, referências multibanco, dados para MBWay). Estes dados são geridos e processados principalmente através de gateways de pagamento seguros e integrados, com os quais o Utilizador Empresarial tem uma relação contratual direta.
• Informações de Utilização da Aplicação: Dados sobre a utilização das funcionalidades da PAGA pelo Cliente Final, como agendamentos, participação em aulas.
• Dados de Login da Aplicação Móvel: Se o Cliente Final utilizar a aplicação móvel PAGA.
• Categorias Especiais de Dados Pessoais (Artigo 9.º do RGPD): Se o Utilizador Empresarial utilizar funcionalidades da PAGA para recolher e tratar dados relativos à saúde dos Clientes Finais (ex: planos de treino, planos alimentares, registo de avaliações físicas), é da exclusiva responsabilidade do Utilizador Empresarial:
  • Garantir um fundamento legal explícito para tal tratamento, nomeadamente o consentimento explícito do Cliente Final, conforme Artigo 9.º, n.º 2, alínea a) do RGPD, ou outra condição de licitude aplicável.
  • Informar devidamente os Clientes Finais sobre este tratamento específico.
  • A OUTCODE apenas disponibiliza a ferramenta tecnológica, não determinando as finalidades nem os meios essenciais deste tratamento de categorias especiais de dados.

3.3 Dados recolhidos automaticamente

Quando utiliza os nossos Serviços (website ou aplicações), podemos recolher automaticamente certas informações, tais como:

• Informações do Dispositivo: Endereço IP, tipo de dispositivo, sistema operativo, identificadores únicos de dispositivo, tipo de browser.
• Informações de Utilização: Páginas visitadas, funcionalidades utilizadas, data e hora de acesso, duração da sessão, erros.
• Cookies e Tecnologias Semelhantes: Utilizamos cookies e tecnologias semelhantes para recolher informações sobre a sua interação com os nossos Serviços e para melhorar a sua experiência. Para mais informações, consulte a nossa Política de Cookies.

4. Finalidades e Fundamentos Legais para o Tratamento dos Seus Dados Pessoais (Artigo 13.º do RGPD)

Utilizamos os seus dados pessoais para as seguintes finalidades e com os seguintes fundamentos legais:

4.1 Para os Utilizadores Empresariais (OUTCODE como Responsável pelo Tratamento)

• Fornecer e Gerir os Serviços (Fundamento: Execução de Contrato - Art. 6.º, n.º 1, al. b) do RGPD): Para criar e gerir a sua conta, processar as suas subscrições e pagamentos, fornecer acesso às funcionalidades da PAGA.
• Suporte ao Cliente (Fundamento: Execução de Contrato e Interesse Legítimo da OUTCODE em prestar um serviço de qualidade - Art. 6.º, n.º 1, al. b) e f) do RGPD): Para responder às suas questões, resolver problemas técnicos e fornecer assistência.
• Comunicações Contratuais e de Serviço (Fundamento: Execução de Contrato e Interesse Legítimo - Art. 6.º, n.º 1, al. b) e f) do RGPD): Para enviar informações importantes sobre os Serviços, como atualizações, alterações aos termos, alertas de segurança e notificações administrativas.
• Melhoria dos Serviços (Fundamento: Interesse Legítimo da OUTCODE em otimizar os seus serviços - Art. 6.º, n.º 1, al. f) do RGPD): Para analisar como os nossos Serviços são utilizados, identificar tendências, e desenvolver novas funcionalidades e melhorias. Sempre que possível, estes dados serão agregados ou anonimizados.
• Marketing e Promoções (Fundamento: Consentimento - Art. 6.º, n.º 1, al. a) do RGPD; ou Interesse Legítimo para clientes existentes sobre produtos/serviços similares - Art. 6.º, n.º 1, al. f) do RGPD e legislação aplicável sobre comunicações não solicitadas): Para enviar informações sobre novos produtos, ofertas especiais ou outros conteúdos que possam ser do seu interesse. Pode opor-se a estas comunicações a qualquer momento.
• Cumprimento de Obrigações Legais (Fundamento: Obrigação Legal - Art. 6.º, n.º 1, al. c) do RGPD): Para cumprir com as nossas obrigações legais, como faturação, reporte fiscal e resposta a pedidos de autoridades competentes.

4.2 Para os Clientes Finais (OUTCODE como Subcontratante do Utilizador Empresarial)

A OUTCODE processa os dados pessoais dos Clientes Finais em nome e de acordo com as instruções documentadas dos Utilizadores Empresariais. As finalidades são determinadas pelos Utilizadores Empresariais (Responsáveis pelo Tratamento) e podem incluir as mencionadas na secção 3.2. O fundamento legal para este tratamento deve ser assegurado pelo Utilizador Empresarial (ex: consentimento do Cliente Final, execução do contrato entre o Cliente Final e o Utilizador Empresarial, etc.).

5. Com Quem Partilhamos os Seus Dados Pessoais? (Destinatários - Artigo 13.º do RGPD)

Não vendemos os seus dados pessoais. Podemos partilhar os seus dados pessoais com terceiros apenas nas seguintes circunstâncias e com as devidas salvaguardas:

• Prestadores de Serviços (Sub-subcontratantes da OUTCODE ou Subcontratantes do Utilizador Empresarial):
  • Gateways de Pagamento: Para processar pagamentos (ex: IfthenPay, Stripe, PayPal, SIBS). Estes atuam como responsáveis autónomos pelo tratamento dos dados de pagamento ou como subcontratantes do Utilizador Empresarial.
  • Software de Faturação: Para a emissão de faturas (seja da OUTCODE para o Utilizador Empresarial, seja para integração com os sistemas do Utilizador Empresarial).
  • Serviços de Alojamento e Infraestrutura: Para alojar a nossa aplicação e bases de dados (ex: AWS, Azure, Google Cloud, garantindo armazenamento na UE/EEE ou transferências com garantias adequadas).
  • Ferramentas de Análise e Marketing: Para nos ajudar a compreender como os nossos Serviços são utilizados e para gerir campanhas de marketing (com o seu consentimento, quando necessário). Exigimos contratualmente que os nossos subcontratantes (quando atuamos como Responsável) utilizem os dados pessoais apenas para os fins para os quais foram partilhados e que implementem medidas de segurança adequadas.
• Utilizadores Empresariais (no caso de Clientes Finais): Os dados dos Clientes Finais são inerentemente acessíveis ao Utilizador Empresarial do qual são clientes, pois este é o Responsável pelo Tratamento.
• Obrigações Legais e Autoridades: Podemos divulgar os seus dados pessoais se formos obrigados por lei, por ordem judicial ou por uma autoridade competente (ex: Autoridade Tributária, tribunais, CNPD).
• Proteção dos Nossos Direitos: Podemos partilhar informações se acreditarmos que é necessário para proteger os nossos direitos, propriedade ou segurança, ou os de outros.
• Transações Empresariais: Em caso de fusão, aquisição ou venda de ativos, os seus dados pessoais podem ser transferidos. Notificá-lo-emos de tal transferência.

6. Transferências Internacionais de Dados (Artigo 13.º do RGPD)

Os dados pessoais que recolhemos são, preferencialmente, armazenados e processados dentro da União Europeia (UE) ou do Espaço Económico Europeu (EEE).

Caso seja necessário transferir dados pessoais para fora da UE/EEE (ex: para subcontratantes localizados em países terceiros), garantimos que tal transferência é realizada em conformidade com o RGPD, utilizando mecanismos como:

• Decisões de adequação da Comissão Europeia.
• Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia.
• Outras salvaguardas apropriadas (ex: Regras Vinculativas Aplicáveis às Empresas).

Informaremos sobre os países para os quais os dados são transferidos e as garantias adotadas, sempre que aplicável, na nossa lista de subcontratantes ou mediante pedido.

7. Segurança dos Seus Dados Pessoais

7.1 Medidas Técnicas e Organizativas

A OUTCODE implementa medidas técnicas e organizativas rigorosas para proteger os seus dados pessoais contra acesso não autorizado, alteração, divulgação, perda ou destruição. Estas medidas incluem:

• Encriptação de Dados: Utilizamos encriptação SSL/TLS (HTTPS) para todas as comunicações entre o seu dispositivo e os nossos servidores. Dados sensíveis como palavras-passe são armazenados de forma encriptada nas nossas bases de dados.
• Controlo de Acessos: Implementamos um sistema rigoroso de controlo de acessos baseado no princípio do "privilégio mínimo", garantindo que apenas pessoal autorizado tem acesso aos dados necessários para desempenhar as suas funções.
• Autenticação Multi-fator: Para acesso a sistemas críticos que contêm dados pessoais.
• Backups Regulares: Realizamos backups diários de todos os dados para garantir a sua recuperação em caso de incidente.
• Monitorização e Testes: Os nossos sistemas são continuamente monitorizados para detetar e responder a potenciais ameaças de segurança. Realizamos testes de penetração e avaliações de vulnerabilidade regularmente.
• Formação de Pessoal: A nossa equipa recebe formação regular sobre práticas de segurança de dados e proteção de privacidade.
• Gestão de Incidentes: Temos procedimentos estabelecidos para detetar, reportar e investigar violações de dados pessoais.
• Segurança Física: Os nossos servidores estão alojados em centros de dados com controlos de segurança física rigorosos.

7.2 Compromisso com a Segurança

Embora implementemos as melhores práticas de segurança, nenhum sistema é 100% seguro. Em caso de violação de dados que possa resultar num risco elevado para os seus direitos e liberdades, notificaremos tanto a autoridade de controlo competente (CNPD) como os titulares dos dados afetados, em conformidade com o Artigos 33.º e 34.º do RGPD.

Encorajamos os utilizadores a adotar boas práticas de segurança, como a utilização de palavras-passe fortes e únicas, e a ativação da autenticação de dois fatores quando disponível.

8. Os Seus Direitos de Proteção de Dados (Artigo 13.º do RGPD)

8.1 Direitos Detalhados dos Titulares dos Dados

De acordo com o RGPD, tem os seguintes direitos relativamente aos seus dados pessoais:

• Direito de Acesso (Art. 15.º RGPD): Tem o direito de obter confirmação sobre se os seus dados pessoais são tratados e, se for esse o caso, o direito de aceder aos seus dados pessoais e a informações como as finalidades do tratamento, as categorias de dados pessoais em questão, os destinatários ou categorias de destinatários, o prazo de conservação previsto, entre outras.
• Direito de Retificação (Art. 16.º RGPD): Tem o direito de obter, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, tem direito a que os seus dados pessoais incompletos sejam completados.
• Direito ao Apagamento ("direito a ser esquecido") (Art. 17.º RGPD): Tem o direito de obter o apagamento dos seus dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:
  • Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
  • Retirou o seu consentimento e não existe outro fundamento jurídico para o tratamento;
  • Opõe-se ao tratamento e não existem interesses legítimos prevalecentes;
  • Os dados pessoais foram tratados ilicitamente;
  • Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica;
  • Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação a crianças.
• Direito à Limitação do Tratamento (Art. 18.º RGPD): Tem o direito de obter a limitação do tratamento dos seus dados pessoais quando se aplique uma das seguintes situações:
  • Contestou a exatidão dos dados pessoais (durante um período que permita verificar a sua exatidão);
  • O tratamento for ilícito e se opuser ao apagamento dos dados, solicitando, em contrapartida, a limitação da sua utilização;
  • Os dados já não forem necessários para o tratamento, mas forem requeridos por si para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
  • Se tiver oposto ao tratamento, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os seus.
• Direito de Notificação quanto à retificação, apagamento ou limitação (Art. 19.º RGPD): Tem o direito de ser notificado caso os seus dados pessoais sejam retificados, apagados ou limitados no seu tratamento.
• Direito de Portabilidade dos Dados (Art. 20.º RGPD): Tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados foram fornecidos o possa impedir.
• Direito de Oposição (Art. 21.º RGPD): Tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de perfis. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados.
• Direito de Não Ficar Sujeito a Decisões Automatizadas (Art. 22.º RGPD): Tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
• Direito de Retirar o Consentimento: Se o tratamento for baseado no seu consentimento (Art. 7.º, n.º 3 RGPD), pode retirá-lo a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

8.2 Como exercer os seus direitos

Clientes Finais: Devem contactar diretamente o Utilizador Empresarial (ex: o ginásio, a escola, a associação) do qual são clientes, pois este é o Responsável pelo Tratamento dos seus dados pessoais. A OUTCODE, como Subcontratante, apoiará o Utilizador Empresarial no cumprimento das suas obrigações para responder aos pedidos dos titulares dos dados.

Utilizadores Empresariais: Podem exercer os seus direitos contactando-nos através do email [Inserir Email de Contacto da OUTCODE] ou por correio para a nossa morada, dirigido ao Encarregado de Proteção de Dados.

Para proteger a sua privacidade e segurança, poderemos solicitar-lhe informações específicas para nos ajudar a confirmar a sua identidade antes de respondermos ao seu pedido.

Procuraremos responder a todos os pedidos legítimos no prazo de um mês. Ocasionalmente, poderemos demorar mais de um mês se o seu pedido for particularmente complexo ou se tiver feito vários pedidos, mas nesse caso, informá-lo-emos e manteremos-lhe atualizado.

8.3 Direito de apresentar reclamação a uma autoridade de controlo

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, tem o direito de apresentar uma reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se considerar que o tratamento dos seus dados pessoais viola o RGPD.

Em Portugal, a autoridade de controlo é a Comissão Nacional de Proteção de Dados (CNPD)

9. Período de Conservação dos Dados Pessoais

Conservamos os seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram recolhidos, incluindo para efeitos de cumprimento de requisitos legais, contabilísticos ou de reporte.

Para determinar o período de conservação apropriado, consideramos a quantidade, natureza e sensibilidade dos dados pessoais, o risco potencial de danos resultantes da utilização ou divulgação não autorizada, as finalidades para as quais tratamos os dados e se podemos alcançar essas finalidades através de outros meios, bem como os requisitos legais aplicáveis.

Períodos de conservação específicos:

• Dados de Utilizadores Empresariais: Conservamos os dados da sua conta enquanto mantiver uma conta ativa connosco. Após o encerramento da conta, podemos reter certos dados por um período adicional para cumprir obrigações legais (ex: registos fiscais por 10 anos) ou para proteger os nossos interesses legítimos (ex: em caso de litígio).
• Dados de Clientes Finais: Como Subcontratante, seguimos as instruções do Utilizador Empresarial (Responsável pelo Tratamento) quanto à conservação destes dados. Após a cessação do contrato com o Utilizador Empresarial, devolvemos ou eliminamos estes dados, conforme instruído.
• Dados de Comunicações de Marketing: Conservamos os seus dados para fins de marketing até que opte por não receber mais tais comunicações.
• Cookies e Dados de Utilização: Consulte a nossa Política de Cookies para informações sobre os períodos de conservação específicos.

10. Alterações a esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir alterações nas nossas práticas de privacidade, alterações legais ou regulatórias, ou por outros motivos operacionais. Notificá-lo-emos sobre quaisquer alterações materiais através da Aplicação ou por e-mail, conforme apropriado, e atualizaremos a data da "Última atualização" no topo desta Política.

Encorajamo-lo a rever periodicamente esta Política para se manter informado sobre como protegemos os seus dados pessoais. A continuação da utilização dos nossos Serviços após a publicação de alterações a esta Política de Privacidade significa que aceita essas alterações.

11. Como Contactar-nos

Se tiver alguma dúvida, preocupação ou comentário sobre esta Política de Privacidade ou as nossas práticas de privacidade, por favor contacte-nos através do nosso formulário de contactos.

Também pode contactar o nosso Encarregado de Proteção de Dados (DPO), através do nosso formulário de contactos.

Ao utilizar os Serviços PAGA, confirma que leu, compreendeu e concorda com esta Política de Privacidade.